لا تعد قوائم المواد البرمجية (SBOMs) ظاهرة جديدة، ولكن ضرورتها مستمرة في الزيادة. تستمر البرامج في أن تصبح أكثر تعقيدًا حيث يضيف المطورون المزيد من التعليمات البرمجية مفتوحة المصدر والجهات الخارجية إلى تطبيقاتهم أكثر من أي وقت مضى. وفي الوقت نفسه، تتزايد الضوابط التنظيمية، مما يستلزم الحاجة إلى معرفة من أين جاءت مكونات البرامج، ومن قام بإنشائها، ومتى ولأي غرض، ورقم الإصدار.
نظرًا للدفع المستمر لإصدار البرامج بشكل أسرع من أي وقت مضى، تتغير إصدارات البرامج باستمرار بطرق لا يستطيع المطورون التحكم فيها.
“يمكن أن يكون مكلفًا [many] أسباب لعدم [understand] تكوين برنامجك من خلال شيء مثل SBOM. يقول مايكل ليبرمان، المدير التنفيذي للتكنولوجيا والمؤسس المشارك لشفافية سلسلة توريد البرمجيات: “يتضمن ذلك نقاط الضعف، واستخدام التراخيص، والمؤشرات المتعلقة بالتعقيد، وانتهاكات السياسات الهندسية أو أي عدد من الأشياء المتعلقة بتكوين البرامج”. كوساري في مقابلة عبر البريد الإلكتروني. “القطعة المهمة هي أن SBOMs لا تحتاج إلى الوجود في الفراغ. إنها معيار مفتوح يتيح للمؤسسات ليس فقط فهم المخاطر المرتبطة ببرنامج واحد ولكن يمكن استخدامها لفهم المخاطر بشكل أفضل عبر أجزاء متعددة من البرامج.
تعد تبعيات البرامج سببًا آخر لاستخدام SBOMs.
يقول إريك فوريير، الرئيس التنفيذي لشركة Automated: “بالنظر إلى أنه لا يوجد أي مطور تقريبًا يرى كل سطر من التعليمات البرمجية التي تجلبها كل تبعية إلى تطبيقه، فقد أصبح من المهم أكثر من أي وقت مضى أن يكون لدينا مسارات متعددة لاكتشاف التهديدات الجديدة التي تتسلل إلى سلاسل توريد البرامج لدينا”. منصة كشف الأسرار ومعالجتها جيتجارديان، في مقابلة عبر البريد الإلكتروني. “يمكن لبرامج SBOM، وخاصة الحية منها، مساعدة فرق الأمان على مراقبة المشكلات الجديدة والتصرف بسرعة عند اكتشاف برمجيات إكسبلويت جديدة والإبلاغ عنها.”
الامتثال هو أيضا سائق.
“أحد مخاطر الامتثال الأساسية المرتبطة بـ BOMs هو ضمان امتثال جميع المكونات المستخدمة في البرنامج للتراخيص الخاصة بها. تختلف متطلبات التراخيص مفتوحة المصدر المختلفة، بدءًا من التراخيص المسموح بها، والتي تسمح بالاستخدام والتعديل على نطاق واسع، إلى التراخيص الأكثر تقييدًا، والتي تتطلب إصدار أعمال مشتقة بموجب نفس الترخيص. يقول جاستن ريوك، رئيس علاقات المطورين في مزود بوابة المطور الداخلي: “إن عدم الالتزام بشروط الترخيص يمكن أن يؤدي إلى عواقب قانونية كبيرة على المؤسسات، بما في ذلك الدعاوى القضائية والغرامات”. اللحاء آي دي بي، في مقابلة عبر البريد الإلكتروني. “ولتخفيف هذه المخاطر، يجب على الشركات تنفيذ عمليات قوية لإنشاء وصيانة قوائم مكونات الصنف الدقيقة، وإجراء تقييمات منتظمة للثغرات الأمنية، وإدارة التراخيص بشكل فعال، وضمان الامتثال للالتزامات التنظيمية والتعاقدية طوال دورة حياة تطوير البرمجيات.”
يساعد الذكاء الاصطناعي على فهم مكونات البرمجيات، لكنه يمثل مخاطرة
يتم تضمين الذكاء الاصطناعي في جميع أنواع التطبيقات، ولا تعد SBOMs استثناءً. إلى جانب الأتمتة، يجعل الذكاء الاصطناعي من السهل والسريع فهم ما هو موجود في SBOM بينما يجعل GenAI من السهل استجواب SBOMs، على الرغم من أنه لا ينبغي للمرء أن يثق في النتائج بشكل أعمى.
“لقد أظهرت بعض نماذج الذكاء الاصطناعي أنها يمكن أن تكون جيدة في تلخيص البيانات. لذلك، إذا كان لديك مجموعة من SBOMs، فمن المحتمل أن يساعدوا في قراءة تلك البيانات وتقديم ملخص بشري لها. ومع ذلك، كن حذرًا لأنها قد تكون عرضة لعدم الدقة، ومن الأهمية بمكان أن يتم استخدامها لتكملة الأدوات الأخرى والمساعدة في الشرح، ولكن لا يتم استخدامها في اتخاذ القرارات بدون بوابات إضافية،” كما يقول ليبرمان من كوساري. “على الجانب الآخر، يشكل الذكاء الاصطناعي خطرا هائلا على سلسلة التوريد. في حالة كل من البرامج التقليدية مفتوحة المصدر وبرامج البائع، يمكنك تتبع هذا البرنامج في معظم الحالات. من الصعب حاليًا تتبع نموذج الذكاء الاصطناعي للبيانات التي تم تدريبه عليها. يؤدي هذا إلى مخاطر أمنية بسبب التدريب على البيانات الضارة المحتملة [and] التزامات أخرى إذا تبين أن النماذج مدربة على بيانات متحيزة أو غير قانونية.
يعد الكود الذي تم إنشاؤه بواسطة الذكاء الاصطناعي أيضًا خطرًا يجب أخذه في الاعتبار.
“لقد رأينا المطورين يثقون أكثر فأكثر في التعليمات البرمجية التي ينتجها الذكاء الاصطناعي. الخوف هو أنهم أصبحوا يشعرون بالرضا عن النفس لأن النتائج جيدة بما يكفي لشحنها إلى الإنتاج دون تدقيق عميق،” كما يقول فورييه من GitGuardian. “بدون الاجتهاد في كل سطر من التعليمات البرمجية التي ينتجها الذكاء الاصطناعي، فإن الحزم التي يصنعها الذكاء الاصطناعي ببساطة والتي استفادت منها الجهات الفاعلة السيئة ستظل تمثل تهديدًا متزايدًا. تعد SBOMs أداة أخرى يمكننا الاستفادة منها للحفاظ على اليقظة.
الموعظة الحسنة
من الحكمة أن تبدأ المنظمات التي لا تستخدم SBOMs الآن.
“الأمر بسيط، ابدأ في تسجيل أكبر قدر ممكن من البيانات حول البرنامج الذي تسحبه. قم بإنشاء SBOMs وعمليات فحص التحليل الثابت وشهادات بناء البرامج مثل in-toto/SLSA للبدء. اطلب SBOMs من البائعين لديك وابحث عنها في مصدر مفتوح مع التحقق أيضًا مما إذا كانت البيانات الموجودة في SBOMs التي تستهلكها كاملة بما يكفي لتكون مفيدة، كما يقول ليبرمان من Kusari. “البيانات هي الجزء الأكثر أهمية في اللغز. ربما تقوم بتطوير البرامج واستخدامها بشكل آمن، ولكن إذا لم تكن لديك البيانات، فلن تتمكن من رؤية ما تفتقده وما يجب فعله عندما يحدث شيء لا مفر منه مثل log4shell التالي.
مايك ليبورج، رئيس قسم تكنولوجيا المعلومات في شركة أتمتة الأمان المعززة بالذكاء الاصطناعي حارة السباحة، يحذر من أن المنظمات يجب أن تكون حريصة على عدم الإفراط في مشاركة SBOMs الخاصة بها لأن الجهات الفاعلة السيئة يمكن أن تستخدمها لأغراض شريرة.
“يمكنهم أن يروا بسرعة كبيرة أن هناك مسارًا حرجًا. يقول ليبورج: “تستخدم البرامج A وB وC هذا، حتى يتمكنوا من تقليل نطاق أنشطة الاستطلاع الخاصة بهم”. “لا يمكن لأحد التقاط SBOM الخاص بك ونسخ قاعدة التعليمات البرمجية الخاصة بك. هذا ليس الخطر. ويكمن الخطر في أنها من المحتمل أن تكون خريطة طريق لممثل سيء، وإذا كنت لا تغير حزمة التطبيقات الخاصة بك حقًا، فهذا مجرد نشر مستمر لأي نقاط ضعف محتملة قد تكون مرتبطة بالتبعيات في سلسلة التوريد.
وأخيرًا، تأكد من أن استخدام SBOMs ليس تمرينًا لخانة الاختيار. وبخلاف ذلك، يمكن للمرء أن يفقد الفوائد.
قال فيل أيكاس، المؤسس المشارك ومهندس البرمجيات في مزود أمان سلسلة توريد البرمجيات مفتوحة المصدر: “إذا كنت لا تعرف ما الذي تقوم بتشغيله ولا تهتم به، فقد تواجه مشكلات أكبر”. حارس سلسلة. “أحد الأسباب [to have an SBOM] هو فهم ما إذا كنت قد تأثرت بالثغرة الأمنية. والشيء الآخر هو أنه في بعض الأحيان توجد أجزاء من البرامج لم تعد تتم صيانتها. إذا لم تتم صيانة البرنامج، فسأحتاج إلى العثور على بديل أو البدء في صيانته بنفسي.
